1. はじめに:M&Aに見るサイバーリスク対応機運の高まり デロイトがグローバルで行った調査「CEOサーベイ(2021年夏・秋)」において、「サイバーセキュリティ」は経営者にとって最も関心の高い事項であることが確認されている(図表1)。加えて近年では投資家もサイバーリスクへの対応力を重要な投資判断基準と位置付ける傾向が見られ、日本においてもサイバーインシデントを起こした企業の株価は大幅に下落する傾向にある(図表2)。
このほかにも3年以上前のデータであるが、日本国内で2018年4月~2019年3月の1年間で50%以上の組織がサイバーインシデントを経験し、35%以上の組織で重大インシデントが発生しているというデータがある。また、情報漏洩による平均被害額は約4M$というデータもあり、仮にそこでの営業利益率10%と仮定すると売上にして一社あたり40M$の負のインパクトがもたらされていることになる。
上記を背景に、筆者らが日頃相対している現場でも、企業経営における事業のサステナビリティ・継続性の観点から、サイバーリスクに対する備えの強化が、これまでなかった次元で求められるようになっている。
企業のM&Aを取り巻く環境が急激に変化してきていることもあって、サイバーリスクへの対応実態がディール価値算定上の重要な変数となっている。これを加速させている背景として、①DX実装強化に対する期待やポストコロナに伴う環境の変化(例えば指数関数的に急増しているIoTデバイスや、人手不足が起きている現場におけるセキュリティリスクへの対応)、②国内外において対応が求められる法規制・ガイドラインの制定・改正(例えばNIST SP800-171やGDPR、Ethical AI等への準拠)、③サイバー攻撃を受ける範囲や規模の拡大などによる被害の深刻化が挙げられる(図表3)。